Q&A
DNS検証の設定はちゃんと同様に行ったんでしょうか。
また、ホストゾーンは消したままですか?
ホストゾーンを消したらレコードが消えてしまうのでDNS検証はどうやっても成功しませんが…。
AWSのみでWordpressを構築しています。
まずはhttpでインターネット→(セキュリティグループ)→ALB→(セキュリティグループ)→EC2インスタンスという通信ができるところまで作成しました。
そのあと、SSL化するために
・Route53でドメインを取得
・EC2インスタンスに固定IPをアタッチ
・ACMで上記ドメインの証明書を発行
ここまで行い、この時の証明書はすぐに認証され、ALBのインバウンドルールにも適用できる状態となりました。
しかしRoute53でホストゾーンやレコードを登録するのが初めてで手こずり、httpsでの通信も成功しませんでした。
今思うとレコード登録にミスがあったと思うのですが、証明書作成でミスってしまったと思い込んで、証明書(およびその際自動作成されたホストゾーン&レコード)をすべて削除してしまいました。。。
それから数時間後にもう一度同じドメインで証明書をリクエストしたところ、2日間ずっと保留中となっています。1度目はすぐに検証済みになって使えたので、削除してしまったのがまずいと思っていますが、時間をおけば解消する(再びリクエストが通るようになる)のかもわかりません。
理想のアーキテクチャは、EC2(のセキュリティグループ)はALB(のセキュリティグループ)からのhttpリクエストのみを受け付け、インターネットとは必ずALBを経由してhttps通信することです。
2回目の証明書リクエストの直前に、自分がRoute53で購入したドメインのホストゾーン(レコードなし)を作成していました。証明書リクエストによってデフォルトで2つレコードが作られるのと、証明書リクエスト直後に「レコードを作成」というボタンがあるのでそれを押して、レコードは3つ登録されていました。さらにAレコード(値はEC2の固定IP)を手動で書き加え4レコードある状態で、本質問をいたしました。
現在は検証のタイムアウトで戻ってきてしまいました。ここに書いたレコード作成手順が間違っていたのでしょうか。
設定内容がわからないので何も言えません。
本当にちゃんと登録したドメインでホストゾーンを作成し、レコードを登録したのでしょうか。
すべてが自己申告なので何もわかりません。
可能な限り実際の具体的な設定を書いてください(実際のドメインはマスクしても構いませんが…。)
ドメイン検証は時間がかかる場合もたまにありますが、多くの場合時間がかかるのは設定ミスが原因です。
ちなみに、接続がうまく行かなかった原因はAレコードにIPを登録しているからで、ALBを経由したいならALBのエンドポイントを登録してください。
回答2件
0
自己解決
証明書のリクエストが通らなかった理由は、リクエスト後に表示される「レコードを作成」からではCNAMEレコードを作成できていなかったからです。
それはCNAMEレコードが同じレコード名のものと被ってしまう状態だった(ホストゾーン内に既に登録されているレコード名と同じ名前を登録しようとしたからはじかれた)からです。
これを防ぐためにはドメイン名の前に*か何かを入れて、レコード名がかぶらないようにしてCNAMEレコードを手動作成します。こうすれば数分でリクエストが承認されました。
投稿2022/01/10 08:50
総合スコア16
0
ACMも最近マネコンのデザイン変わって使いにくくなりましたね。。。
対象の証明書のドメインの CNAME をコピーして、
dig CNAMEのURL txt
とかやってみましょう。
正しく結果が返ってくるなら待てばいけるはずです。
正しい結果が返ってこない(ANSWERがない)なら DNS がダメかもしれません。
ホストゾーンも削除したとありますが、その場合 Route53 のゾーンが変わってしまっている可能性があります。
dig 使っているドメイン soa
とかやってみましょう。
Route53でドメインを取得しているならaws系ドメインのNSサーバが4台リストされるはずです。
ドメインの取得を外部で行っているなら(お名前.comとか使っているなら)そっちがリストされるかもしれません。
いずれにしても、ドメインを引いて、正しいゾーンを見ているかを確認するといいでしょう。
投稿2021/11/27 13:35
総合スコア82
最初のご回答本当にありがとうございます。
今、digコマンドにトライしてみようとしたら証明書は検証タイムアウトとなってしまっていました。。。
また証明書をリクエストしてみるしか無いと思いますが、レコードの設定がおかしかったのでしょうか?
他の方からの「質問への追記依頼」に、レコード作成方法を書きましたので、お手数ですがご指摘をいただければ助かります。
正確な情報が何一つ出てないのに設定がおかしいかどうかはわからないですね。。。
まずやってみてって書いたことをちゃんとやって記録を出さない限り何も伝わらないしわかるわけがない。。。
申し訳ございません。
タイムアウトしたのに今更digしたって意味が無いと呆れられてしまうと思い載せませんでした。。。
以下は、2回目のリクエストがタイムアウトしてから何も設定をいじらずに、教えていただいたコマンドを実行した結果です。
[ユーザ名]$ dig route53で購入したドメイン.com soa
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> route53で購入したドメイン.com soa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 8966
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;route53で購入したドメインcom. IN SOA
;; Query time: 194 msec
;; SERVER: 10.0.0.2#53(10.0.0.2)
;; WHEN: Tue Nov 30 12:21:55 UTC 2021
;; MSG SIZE rcvd: 45
[ユーザ名]$ dig xxxxxxxxxxxxxxxxxxxx.acm-xxxxxxxx.aws.txt
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> xxxxxxxxxxxxxxxxxxxx.acm-xxxxxxxx.aws.txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 47247
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;xxxxxxxxxxxxxxxxxxxx.acm-xxxxxxxx.aws.txt. IN A
;; AUTHORITY SECTION:
. 562 IN SOA a.root-servers.net. nstld.verisi gn-grs.com. 2021113000 1800 900 604800 86400
;; Query time: 4 msec
;; SERVER: 10.0.0.2#53(10.0.0.2)
;; WHEN: Tue Nov 30 12:23:11 UTC 2021
;; MSG SIZE rcvd: 172
______________________________________
Got answerとあるので、”正しく結果が返ってくる”に当てはまる状態だったのかなと思います。
しかし、NSレコードにある4台のNSサーバがリストアップされていないように見えます。(ホストゾーンのスクリーンショットを載せました)
最初の1つ以外あってないですね。。。
```
dig route53で購入したドメイン.com soa +short
dig route53で購入したドメイン.com txt +short
```
で両方とも正しい答えが返ってこないなら動かないです。
(最初のsoaに値が入ってないので後のtxtも空のはず。acmのドメインのdigには意味がない)
soa のほうには ns-711 が返ってこないとダメなはずです。
acm の検証に使うのは
```
dig _afdなんちゃら購入したドメイン
``
の結果で返ってくる cname の値(_87fdなんちゃら)ですが、そもそも soa が取れてないのでたぶんダメです。
ACMの画面でドメインブロックのCNAME名とCNAME値がこれらの値になっているはず。
- ドメインを購入したのはどこか(R53で購入もやったのか別のレジストラで買ったのか)
- 最初の質問にあるとおり最初のホストゾーンは本当にゾーンごと消したのか(画像ではったゾーンは別のホストゾーンなのか)
- その場合ゾーンの再作成はどうやったのか
を整理しないとダメかも。
R53でドメインの購入をしてゾーンが作成されたのにそのゾーンを消してしまっているとしたら、ただしい再作成はAWSサポート経由だったかも?
AWSはドメイン購入後の処理が他に比べてブラックボックスなので。。。
あなたの回答
tips
プレビュー
